クラウド上のデータは安全?
リスクとセキュリティ対策を徹底分析
社内資料の管理、従業員や顧客の情報管理などにクラウドサービスを利用することが一般的になりました。クラウド上に保存されるデータの急増に伴い懸念されるのが、そのセキュリティリスクです。クラウドを介してどこからでもデータにアクセスできるサービスが一般化した中で、安全に運用管理はできていますか?今回はクラウドサービスについてまとめ、必要なセキュリティ対策についてお伝えしていきたいと思います。
クラウド(クラウドコンピューティング)とは?
「クラウド(クラウドコンピューティング)」とは、クラウドサービスプラットフォームからインターネット経由でコンピューティング、データベース、ストレージ、アプリケーションをはじめとした、さまざまな IT リソースをオンデマンドで利用することができるサービスの総称です。クラウドを利用することで、ハードウェア導入に伴う初期の多額の投資や、リソースの調達、メンテナンス、容量の使用計画といったわずらわしい作業に多大な人的リソースを費やす必要がなくなります。クラウドはサービス形態によってSaaS(サース)、PaaS(パース)、IaaS(イアース)の3つの種類があります。
SaaSは「Software as a Service」の略で、従来はパッケージとして提供されていたソフトウェアを、インターネットを経由して使えるようにしたサービスのことです。ユーザーは、ソフトウェアをパッケージとして購入する必要も、インストールする必要もありません。ブラウザ上でメールやスケジュール管理ができるGmail等のGoogle Appsが当てはまります。
PaaSは「Platform as a Service」の略です。SaaSで提供されるアプリケーションの開発環境を提供するサービスで、プラットフォームであるOS、サーバなどを開発するための機能一式が利用できます。PaaSの代表例は、Amazon Web Service(AWS)、Microsoft Azureなどです。
IaaSは「Infrastructure as a Service」の略です。OS、サーバや記憶装置、ネットワーク機器などのインフラをインターネット経由で提供するものです。
クラウドを導入するメリット
・社内サーバが不要
・IT投資のリスク軽減
・拡張性が高い
・常に最新でメンテナンスが不要
・導入や維持に関する社内担当者の負担軽減
社内サーバが不要になることで一般的に初期費用が安く抑えられていることが多く、月額費用も従量制を選べば利用分のコストのみで済みます。オンプレミスの場合は初期費用が高額になりがちで、企業規模によっては導入を断念するケースもあります。クラウドを導入することでIT投資のリスク軽減につながります。データ自体はサービスベンダーが保有するデータセンターで管理されますが、拠点ごとに分散管理されているため社内の1拠点で管理するのと比べて安全と言えるでしょう。
また拡張性が高く、繁忙期等は一時的にサーバのスペックを上げて、大量のアクセスを処理することが可能です。オンプレミスの場合では、スペックを上げるには再度サーバを構築しなおす必要があります。 そしてオンプレミスでは大変だったサーバメンテナンスもクラウドサーバであれば不要です。導入や維持に関する社内担当者の負担軽減にもなり、手間も時間もコストも省けるメリットがあります。そのため近年便利なクラウドを社内に導入する企業が急増しています。
クラウドで必要なセキュリティ対策
SaaS / PaaS / IaaS毎に責任分界点が異なり、 「クラウド利用企業自体が対策するセキュリティ」と「クラウド事業者が対策するセキュリティ」に分かれます。
SaaS利用企業は、データやコンテンツに関してのみ自社でセキュリティ対策が必要になります。一方で、アプリケーションからサービス運用までの領域はクラウド事業者がセキュリティ対策を実施します。
PaaS
PaaS利用企業は、データからアプリケーションまでの領域のセキュリティ対策が必要です。定期的な脆弱性診断やマルウェアスキャンを実施することで、最新のセキュリティ脅威に対する対策も重要です。
IaaS
IaaS利用企業は、データからミドルウェアまでの領域のセキュリティ対策が必要です。AmazonのAWSでは、仮想マシン上で稼動する OSが併せて準備されています。利用企業は、このOSに対して、ミドルウェアをインストールして利用します。ミドルウェアに対するパッチ 適用や脆弱性対応などの対策が必要です。
SaaS、PaaS、IaaSどのサービスでもクラウド利用企業がデータやコンテンツに対して実施しなければいけないセキュリティ対策が「データ暗号化」と「アクセス制御」です。クラウドでは、データがクラウド事業者のデータセンターに保管されるため、通常はインターネットを経由してサービスを利用することになります。インターネットを経由することは、通信経路上で盗聴や改ざんなどのリスクが発生します。公開情報でない限り、必ず通信データをSSLによって暗号化する必要があります。また、プライベートクラウドのようなイントラネット環境でも、SSLサーバ証明書やSSHを用いることで、組織内部の盗聴によるリスクを回避できます。
クラウドのセキュリティリスク
企業におけるデータの暗号化対策への警鐘
2019年10月8日デジタルセキュリティベンダーのタレス(Thales)が、日本、オーストラリア、ブラジル、フランス、ドイツ、インド、イギリス、アメリカの8カ国のIT管理者やITセキュリティ担当者3000人以上を対象にアンケート調査を実施しました。「クラウドセキュリティ調査レポート2019」(Could Security Study 2019)として公表された同レポートによると、日本の企業の48%はAmazon Web Services(AWS)、Microsoft Azure、IBMを中心とするマルチクラウド戦略を取り入れています。約半数の日本企業はデータをクラウド上に保存している一方で、クラウド上の機密データを暗号化で保護している組織はわずか32%(日本:29%)でした。また45%の日本企業が、過去にデータ侵害を受けたことがあり、そのうち21%が直近の1年で発生しています。
調査に参加した半数近くの46%(日本:52%)の組織が、クラウド上に消費者に関連する個人情報の機密データを保存することで、セキュリティリスクが増加すると回答し、半数以上となる56%(日本:72%)の組織が、コンプライアンス上のリスクが発生すると回答しています。クラウド上のデータ保護の責任については、クラウド事業者が負うべきと回答した組織は18%、ユーザー企業である自社の責任であると回答した組織は31%に留まりました。今回の調査では、機密データを保護する重要性を認識しているにもかかわらず、 企業全体の暗号化率は驚くほど低いことがこのレポートから顕著に浮かび上がっています。
不正ログイン対策の不備
クラウドサービスは、ブラウザやアプリから自身のアカウントにログインするだけで利用できます。そのため、アカウントや端末のセキュリティ対策の度合いによってセキュリティのレベルが大きく異なります。端末のパスコードロックをしていない場合や、アカウントへの自動ログイン状態、パスワード不要で利用できるフリーWi-Fiの利用など、一般的なセキュリティ対策を怠るとサーバ攻撃により不正ログインされるリスクが高まります。
1回ごとに変更されるパスワードであるワンタイムパスワードを利用することや、リソースに対する厳格なアクセス制御を設けることによって、不正アクセスやそれによる情報漏えいのリスクを減らすことができます。また適切なアクセス制御によって管理されていないと、内部から悪意あるデータの持ち出しやダウンロード等によりデータ流出が可能になってしまいます。タレスのレポートでは、内部関係者によるデータ侵害も報告されていますが、その内訳は内部アクセス権を持つパートナー(52%)、特権ユーザー(49%)、および従業員、その他の非 IT ユーザー、サービス プロバイダーアカウントの混合(41%)が特定されています。
さいごに
クラウドサービスは、低コストで導入でき、場所を問わず利用できることからビジネスにおいて非常に大きなメリットがあります。一方、クラウドはインターネットに接続するためセキュリティリスクは高まりやすくなります。その手軽さゆえにセキュリティ上のリスクを理解した上で活用しなければなりません。「データ暗号化」や「アクセス制御」について正しい知識をもち、情報漏えいや不正アクセス等を回避するようにしましょう。